大連理工大學(xué)本科實(shí)驗(yàn)報(bào)告課程名稱：網(wǎng)絡(luò)綜合實(shí)驗(yàn)學(xué)院（系）：專業(yè)：班級(jí)：學(xué)號(hào)：學(xué)生姓名：年月日

大連理工大學(xué)實(shí)驗(yàn)報(bào)告學(xué)院（系）：專業(yè)：班級(jí)：姓名：學(xué)號(hào)：組：實(shí)驗(yàn)時(shí)間：實(shí)驗(yàn)室：實(shí)驗(yàn)臺(tái)：指導(dǎo)教師簽字：成績(jī)：實(shí)驗(yàn)七：防火墻配置與NAT配置一、實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)在路由器上配置包過(guò)濾防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）二、實(shí)驗(yàn)原理和內(nèi)容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墻的基本原理及配置4、NAT的基本原理及配置三、實(shí)驗(yàn)環(huán)境以及設(shè)備2臺(tái)路由器、1臺(tái)交換機(jī)、4臺(tái)Pc機(jī)、雙絞線若干四、實(shí)驗(yàn)步驟（操作方法及思考題）{警告：路由器高速同異步串口（即S口）連接電纜時(shí)，無(wú)論插拔操作，必須在路由器電源關(guān)閉情況下進(jìn)行；嚴(yán)禁在路由器開機(jī)狀態(tài)下插拔同/異步串口電纜，否則容易引起設(shè)備及端口的損壞。}請(qǐng)?jiān)谟脩粢晥D下使用“resetsaved-configuration”命令和“reboot”命令分別將兩臺(tái)路由器的配置清空，以免以前實(shí)驗(yàn)留下的配置對(duì)本實(shí)驗(yàn)產(chǎn)生影響。在確保路由器電源關(guān)閉情況下，按圖1聯(lián)線組建實(shí)驗(yàn)環(huán)境。配置IP地址，以及配置PCA和B的缺省網(wǎng)關(guān)為，PCC的缺省網(wǎng)關(guān)為，PCD的缺省網(wǎng)關(guān)為。圖1在兩臺(tái)路由器上都啟動(dòng)RIP，目標(biāo)是使所有PC機(jī)之間能夠ping通。請(qǐng)將為達(dá)到此目標(biāo)而在兩臺(tái)路由器上執(zhí)行的啟動(dòng)RIP的命令寫到實(shí)驗(yàn)報(bào)告中。（5分）答：（我們組的路由器都是AR28的機(jī)器）第一臺(tái)：[h3c]interfacee0/0[h3c-Ethernet0/0]ipaddress[h3c-Ethernet0/0]interfaces1/0[h3c–Serial1/0]ipaddress[h3c–Serial1/0]quit[h3c]rip [h3c-rip]network第二臺(tái)：[h3c]interfacee0/0[h3c-Ethernet0/0]ipaddress[h3c-Ethernet0/0]interfaceethernet0/1[h3c-Ethernet0/1]ipaddress[h3c-Ethernet0/1]interfaceserial1/0[h3c-Serial1/0]ipaddress[h3c-Serial1/0]quit[h3c]rip [h3c-rip]network在AR18和/或AR28上完成防火墻配置，使?jié)M足下述要求：只有PC機(jī)A和B、A和C、B和D之間能通信，其他PC機(jī)彼此之間都不能通信。（注：對(duì)于不能通信，要求只要能禁止其中一個(gè)方向就可以了。）防火墻的ACL列表只能作用于兩臺(tái)路由器的以太網(wǎng)接口上，即AR18的E0、AR28的E0和E1，不允許在兩臺(tái)路由器的S0口上關(guān)聯(lián)ACL。請(qǐng)將你所執(zhí)行的配置命令寫到實(shí)驗(yàn)報(bào)告中。（注：配置方法并不唯一，寫出其中任何一種即可）（15分）[Quidway]firewallenable[Quidway]firewalldefaultpermit[Quidway]aclnumber3001match-orderauto[Quidway-acl-adv-3001]ruledenyipsource0destination0[Quidway-acl-adv-3001]ruledenyipsource0destination0[Quidway-acl-adv-3001]inte0/0[Quidway-Ethernet0/0]firewallpacket-filter3001inbound[Quidway-Ethernet0/0]shutdown[Quidway-Ethernet0/0]undoshutdown[Quidway-Ethernet0/0]quit[Quidway]aclnumber3002match-orderauto[Quidway-acl-adv-3002]ruledenyipsource0destination0[Quidway-acl-adv-3002]inte0/1[Quidway-Ethernet0/1]firewallpacket-filter3002inbound[Quidway-Ethernet0/1]shutdown[Quidway-Ethernet0/1]undoshutdown[Quidway-Ethernet0/1]quit請(qǐng)?jiān)谟脩粢晥D下使用“resetsaved-configuration”命令和“reboot”命令分別將兩臺(tái)路由器的配置清空，以免前面實(shí)驗(yàn)留下的配置對(duì)下面的NAT配置實(shí)驗(yàn)產(chǎn)生影響。請(qǐng)將圖1中IP地址的配置改為圖2，即我們將用IP網(wǎng)段/24作為一個(gè)私網(wǎng)，AR18作為連接私網(wǎng)與公網(wǎng)的NAT路由器，AR28作為公網(wǎng)上的一個(gè)路由器。具體的，請(qǐng)按下述步驟完成NAT配置實(shí)驗(yàn)：配置AR18-12為NAT路由器，它將私有IP網(wǎng)段/24中的IP地址轉(zhuǎn)換為接口S0的公網(wǎng)IP地址。請(qǐng)將所執(zhí)行的配置命令寫到實(shí)驗(yàn)報(bào)告中。（10分）我們?cè)诿恳慌_(tái)PC上都安裝了Web服務(wù)器IIS，它運(yùn)行在TCP端口80。請(qǐng)把PCA的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口80，把PCB的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口8080，并把所執(zhí)行的配置命令寫到實(shí)驗(yàn)報(bào)告中。（10分）我們?cè)诿恳慌_(tái)PC上都允許了遠(yuǎn)程桌面服務(wù)，該服務(wù)使用TCP端口3389。請(qǐng)把PCB遠(yuǎn)程桌面服務(wù)映射到公網(wǎng)IP地址和公網(wǎng)端口3389，并把所執(zhí)行的配置命令寫到實(shí)驗(yàn)報(bào)告中。（10分）[h3c-Serial1/0]natserverglobal3389inside3389tcp[h3c-Serial1/0]shutdown[h3c-Serial1/0]undoshutdown請(qǐng)?jiān)贏R18上配置一條缺省靜態(tài)路由，用于指定AR18的缺省網(wǎng)關(guān)為。[h3c]iproute-static0注：路由相關(guān)配置只需上述一條命令即可，并不需要在AR18和AR28上啟動(dòng)RIP。不在AR18上啟動(dòng)RIP的原因是私網(wǎng)IP的路由信息不應(yīng)該被廣播到公網(wǎng)上；不在AR28上啟動(dòng)RIP的原因是在本實(shí)驗(yàn)中公網(wǎng)環(huán)境中只用一臺(tái)AR28路由器來(lái)模擬。圖2在上述步驟完成后，NAT應(yīng)該能夠正常運(yùn)轉(zhuǎn)，下述現(xiàn)象應(yīng)被觀察到：在PCA上執(zhí)行：ping，結(jié)果為“通”。請(qǐng)將“通”的原因?qū)懙綄?shí)驗(yàn)報(bào)告中。（10分）答：配置時(shí)規(guī)定所有私網(wǎng)地址都可訪問(wèn)公網(wǎng)，PCA是私網(wǎng)的機(jī)器， 是公網(wǎng)的地址，路由器的路由表有其對(duì)應(yīng)的路由表項(xiàng)，所以可以ping通在PCD上執(zhí)行：ping，結(jié)果為“不通”。請(qǐng)將“不通”的原因?qū)懙綄?shí)驗(yàn)報(bào)告中。（10分）答：因?yàn)槭撬骄W(wǎng)地址在PCC上啟動(dòng)IE瀏覽“”，可以下載PCAWeb服務(wù)器上的網(wǎng)頁(yè)，該網(wǎng)頁(yè)大致內(nèi)容為“網(wǎng)站正在建設(shè)中”。請(qǐng)將可以訪問(wèn)的原因?qū)懙綄?shí)驗(yàn)報(bào)告中。（10分）答：因?yàn)槲覀儗CA的Web服務(wù)映射到公網(wǎng)IP地址和公網(wǎng) 端口80，所以可以訪問(wèn)，當(dāng)還在建設(shè)中在PCC上啟動(dòng)IE瀏覽“”，不可以下載PCAWeb服務(wù)器上的網(wǎng)頁(yè)。請(qǐng)將不能訪問(wèn)的原因?qū)懙綄?shí)驗(yàn)報(bào)告中。（10分）答：因?yàn)槭撬骄W(wǎng)地址在PCB和C上都啟動(dòng)Ethereal，捕獲所有TCP的包。然后在PCC上啟動(dòng)IE瀏覽“:8080”，將發(fā)現(xiàn)可以下載PCBWeb服務(wù)器上的網(wǎng)頁(yè)，該網(wǎng)頁(yè)大致內(nèi)容為“網(wǎng)站正在建設(shè)中”。請(qǐng)將用Ethereal觀察到的TCP包的源和目的IP地址、源和目的端口號(hào)在私網(wǎng)和公網(wǎng)上的變化情況寫到實(shí)驗(yàn)報(bào)告中，并據(jù)此解釋NAT在上述HTTP訪問(wèn)過(guò)程中做了怎樣的地址轉(zhuǎn)換。（10分）答：NAT在收到一個(gè)目的地址為端口號(hào)為8080的包時(shí)，查詢自己的地址轉(zhuǎn)換表，然后將包的目的地址改為端口號(hào)改為80后發(fā)給PCB；NAT在收到一個(gè)源地址為端口號(hào)為80的包后，將源地址改為端口號(hào)改為8080，然后把包發(fā)送出去。在PCD上使用“程序附件通訊遠(yuǎn)程桌面連接”登錄PCB，在登錄對(duì)話框中請(qǐng)輸入IP地址“”。在提示用戶名和密碼時(shí)，請(qǐng)分別輸入“admin”和“admin123”，則可以登錄PCB。僅驗(yàn)證此現(xiàn)象即可，不要求寫實(shí)驗(yàn)報(bào)告。做本實(shí)驗(yàn)時(shí)請(qǐng)注意：關(guān)閉